Si nos ponemos paranoicos, en un ordenador también te pueden robar el certificado y con un keylogger saber la contraseña o hacerte phishing instalando un certificado falso. Raro es el día que no sale una vulnerabilidad nueva en algún software, navegadores o incluso en el propio procesador.
Android sin rootear es bastante estricto con los permisos y el acceso a ficheros de sistema, salvo que haya una vulnerabilidad gorda en el propio sistema operativo o tengan acceso físico y no esté cifrado es difícil acceder a los datos.
Si tiene una ROM de vete a saber quién, está rooteado y la memoria no está cifrada es más vulnerable claro. Que no significa que sea un coladero, tienen que darse una serie de circunstancias que probablemente nunca se den (que haya una vulnerabilidad, que alguien la explote, que copie el certificado y que además conozca la contraseña)